 |
Eine Stapeldatei soll bei der Anmeldung eines einfachen Benutzers ausgeführt werden und Befehle enthalten, die nur mit den Rechten eines Administrators ausgeführt werden dürfen. „Runadminbat“ benutzt die „runas“ Funktion und läuft deshalb nur unter Windows 2000 und Windows XP professional – nicht mit Windows NT.
3.) Verschlüsselung der Textdatei
4.) Kopieren der Dateien in das Netlogon Verzeichnis (oder eine andere beliebige Freigabe)
5.) Einfügen des „runadminbat“ Startbefehls in das (vorhandene) Startskript
Schritt 1.)
Erstellen der Stapeldatei mit den Befehlen, die nur mit „Administrator
Rechten“ ausgeführt werden dürfen. Zu beachten ist hier,
dass der sich anmeldende Benutzer diese Befehle nicht ausführt,
sondern das Administrator Konto (korrekte Pfade zu den Programmdateien
beachten!) Beispiele für Befehle einer Batchdatei :
C:\WINNT\System32\xcopy.exe \\s2dc01\NETLOGON\Update\lmhost*.* C:\WINNT\System32\drivers\etc /y
net stop "Taskplaner"
\\s2dc01\NETLOGON\Update\Windows2000-KB883114-x86-DEU.EXE /quiet /norestart
\\s2dc01\NETLOGON\Update\installer.msi /q /noreboot
Beginnen Sie eine Kommentarzeile mit “rem” , “#” oder “;” . „Runadminbat“ wird jede andere Zeile in der Batch Datei versuchen auszuführen. Es ist dringend empfohlen jede Batch Datei vor einem Massenupdate zu testen.
Schritt 2.)
Um die Befehle unter einem Administrator Konto ausführen zu können,
muss eine verschlüsselte Datei mit den Anmeldeinformationen, sowie
dem Namen der unter Schritt 1 erstellten Batchdatei erstellt werden.
Dafür wird zuerst eine einfache Textdatei mit den entsprechenden
Informationen erstellt. Erste Zeile Benutzername des Administrators,
zweite Zeile der Domänenname, dritte Zeile das Passwort und vierte
Zeile das Startskript (ohne Pfad, da beide Dateien sich später
im gleichen Verzeichnis befinden müssen) Beispiel:
Updateadmin
Verwaltungsdomaene
geheimesPasswort
start.bat
Schritt 3.)
Verschlüsselung der unter Schritt 3 erstellten Textdatei mit dem
Programm „cy.exe“. Benutzen Sie den kleinen Dateimanager,
um die zu verschlüsselnde Datei auszuwählen, klicken Sie auf
ok und wählen Sie den Pfad und den Namen der Zieldatei.
Sicherheitshinweis: Um die Befehle auf allen Rechnern einer Domäne ausführen zu können, sollte das Benutzerkonto ein „Domänen Administrator“ sein. Die Anmeldeinformationen liegen verschlüsselt später im Netlogon Verzeichnis (oder einer anderen Freigabe im Netzwerk). Aus Sicherheitsgründen sollte dieses Konto nur einmal benutzt werden und nach dem erfolgreichen Update deaktiviert werden. Die Verschlüsselung ist mit dem nötigen Aufwand und der entsprechenden Fachkenntnis sicher zu entschlüsseln. Benutzen Sie komplexe Benutzernamen und Passwörter.
Schritt 4.)
Kopieren Sie die Datei „runadminbat.exe“, die Stapeldatei
mit den auszuführenden Befehlen und die unter Schritt 3 erstellte
Datei mit den verschlüsselten Anmeldeinformationen in ein entsprechendes
Unterverzeichnis im „Netlogon“ Ordner (oder einer anderen
beliebigen Freigabe im Netzwerk). Die Stapeldatei und „runadminbat.exe“
müssen im gleichen Verzeichnis liegen, die Datei mit den verschlüsselten
Anmeldeinformationen kann in einem anderen, für den sich anmeldenden
Benutzer zugänglichen Verzeichnis sein.
Schritt 5.)
Erstellen Sie einen Eintrag im Anmeldeskript des Benutzers zur Ausführung
von „runadminbat“. Dazu gehört der Programmaufruf plus
dem exakten Pfad zur Datei mit den verschlüsselten Anmeldeinformationen.
Beispiel :
\\s2dc01\NETLOGON\Update\runadminbat.exe \\s2dc01\NETLOGON\Update\batch.cy
Achtung, hier passieren die meisten Fehler! Wie auch in der Batchdatei müssen die Pfadangaben exakt sein.
Copyright © 2004